Estender a cobertura avançada de caça com as configurações certas
Aplica-se a:
- Microsoft Defender XDR
A caça avançada depende de dados provenientes de várias fontes, incluindo seus dispositivos, seus workspaces Office 365, Microsoft Entra ID e Microsoft Defender para Identidade. Para obter os dados mais abrangentes possíveis, verifique se você tem as configurações corretas nas fontes de dados correspondentes.
Auditoria de segurança avançada em dispositivos Windows
Ative essas configurações avançadas de auditoria para garantir que você obtenha dados sobre atividades em seus dispositivos, incluindo gerenciamento de conta local, gerenciamento de grupo de segurança local e criação de serviços.
| Data | Descrição | Tabela de esquema | Como configurar |
|---|---|---|---|
| Account management | Eventos capturados como vários ActionType valores que indicam a criação, exclusão e outras atividades relacionadas à conta local |
DeviceEvents | - Implantar uma política avançada de auditoria de segurança: Auditar Gerenciamento de Conta de Usuário - Saiba mais sobre políticas avançadas de auditoria de segurança |
| Gerenciamento de grupo de segurança | Eventos capturados como vários ActionType valores que indicam a criação de grupos de segurança local e outras atividades de gerenciamento de grupo local |
DeviceEvents | - Implantar uma política avançada de auditoria de segurança: Gerenciamento de grupo de segurança de auditoria - Saiba mais sobre políticas avançadas de auditoria de segurança |
| Instalação do serviço | Eventos capturados com o ActionType valor ServiceInstalled, indicando que um serviço foi criado |
DeviceEvents | - Implantar uma política avançada de auditoria de segurança: Extensão do Sistema de Segurança de Auditoria - Saiba mais sobre políticas avançadas de auditoria de segurança |
Microsoft Defender para Identidade sensor no controlador de domínio
Se você estiver executando o Active Directory no local, precisará instalar o sensor Microsoft Defender para Identidade no controlador de domínio para obter dados para Microsoft Defender para Identidade. Quando instalados e configurados corretamente, esses dados também alimentam a caça avançada por meio de Microsoft Defender para Identidade e fornecem uma imagem mais holística de informações de identidade e eventos em sua rede. Esses dados também aumentam a capacidade de Microsoft Defender para Identidade gerar alertas relevantes que também são cobertos pela caça avançada.
| Data | Descrição | Tabela de esquema | Como configurar |
|---|---|---|---|
| Controlador de domínio | Dados de Active Directory local enviados para Microsoft Defender para Identidade, enriquecendo informações relacionadas à identidade, como detalhes da conta, atividade de logon e consultas do Active Directory | Várias tabelas, incluindo IdentityInfo, IdentityLogonEvents e IdentityQueryEvents | - Instalar o sensor Microsoft Defender para Identidade - Ativar eventos relevantes do Windows |
Observação
Algumas tabelas neste artigo podem não estar disponíveis no Microsoft Defender para Ponto de Extremidade. Ative Microsoft Defender XDR para procurar ameaças usando mais fontes de dados. Você pode mover seus fluxos de trabalho avançados de caça de Microsoft Defender para Ponto de Extremidade para Microsoft Defender XDR seguindo as etapas em Migrar consultas avançadas de caça Microsoft Defender para Ponto de Extremidade.
Tópicos relacionados
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de